Används för att infektera Windows-datorer och omvandla dem till ofrivilliga spamservrar, Rustock.C är en rootkit som installerar sig på Windows-operativsystemet och använder sig av en rad avancerade tekniker som gör det nästan omöjligt att upptäcka eller analysera.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Analysera en rootkit är vanligtvis en kvälls arbete för någon med Boldewins tekniska färdigheter. Med Rustock.C tog det emellertid honom dagar att ta reda på hur mjukvaran fungerade.

Eftersom det är så svårt att upptäcka, anser Boldewin, en säkerhetsforskare med tysk IT-tjänsteleverantör GAD, att Rustock.C hade funnits i nästan ett år innan antivirusprodukter började upptäcka det.

Detta är historien med rootkits. De är smygiga. Men är de ett stort hot?

I slutet av 2005 upptäckte Mark Russinovich den mest kända rotkiten. En windows säkerhetsexpert, Russinovich, var förvirrad en dag när han upptäckte en rootkit på sin dator. Efter en del dvärg upptäckte han så småningom att kopieringsskyddssoftware som används av Sony BMG Music Entertainment faktiskt använde rootkit-tekniker för att gömma sig på datorer. Sonys programvara var inte utformad för att göra något ondskanligt, men det var nästan oupptäckligt och extremt svårt att ta bort.

Sonys rootkit blev en stor PR-katastrof för företaget, som tillbringade miljoner i juridiska bosättningar med användare som drabbades av programvaran.

Tre år senare anser Russinovich, en teknisk medarbetare med Microsoft, fortfarande att det är rootkit som orsakade störst problem för datoranvändare.

Men Sony rootkit förde också problem för antivirusleverantörerna. Det faktum att ingen av dem ens hade märkt denna programvara i ungefär ett år var ett seriöst svart öga för säkerhetsbranschen. Även om de började på Unix-maskinerna tidigare, vid tiden för Sony-fiasko, betraktades rootkits nästa stora hot mot antivirusleverantörer. Säkerhetsforskare undersökte användningen av virtualiseringsteknologi för att dölja rootkits och diskuterade om en fullständigt odetekterbar rootkit någonsin kunde skapas.

Men Russinovich säger nu att rootkits inte lyckats leva upp till sin hype. "De är inte lika vanliga som alla förväntade dem att vara," sa han i en intervju. "

" "Malware verkar idag väldigt annorlunda än när rootkit manen var på gång," sa han. "Då kommer malware att kasta popup över hela skrivbordet och ta över din webbläsare. I dag ser vi en helt annan typ av skadlig kod."

Dagens skadliga program kör tyst i bakgrunden, spammar eller värd sina otäcka webbplatser utan offer som någonsin märker vad som händer. Ironiskt nog är de, trots att de är byggda för att undvika upptäckt, de mest sofistikerade kärnnivåns rootkits ofta så otroligt påträngande att de uppmärksammar sig själva, säger säkerhetseksperter. "Det är extremt svårt att skriva kod för din kärna som inte krascha din dator ", säger Alfred Huger, vice vd för Symantecs säkerhetsreaktionslag. "Din programvara kan gå på någons ganska enkelt."

Huger håller med om att rootkits fortfarande är ett problem för Unix-användare, de är inte utbredda på Windows-datorer.

Rootkits utgör långt mindre än 1 procent av alla Försöket med infektioner som Symantec spår i dessa dagar. När det gäller Rustock.C har Symantec, trots sin tekniska förfining, bara upptäckt det i naturen omkring 300 gånger.

"På hela malware-spektret är det en mycket liten bit och det är av begränsad risk idag," sade Huger.

Men inte alla överensstämmer med Symantecs resultat. Thierry Zoller, chef för produktsäkerhet med n.runs, säger att Rustock.C distribuerades brett via det ökända ryska affärsnätet och att infektioner sannolikt är tiotusentals. "

" "Rootkits användes för att hålla tillgång till en komprometterat mål så länge som möjligt och aldrig haft målet att sprida sig i stor utsträckning ", sa han i en intervju som utfördes via snabbmeddelande.

I slutändan kan brottslingar undvika rootkits av en mycket enkel anledning: De gör det inte behöver dem.

I stället för att använda snygga rootkit-tekniker har hackare istället utvecklat nya tekniker för att göra det svårt för antivirusleverantörer att berätta skillnaden mellan programvara och legitima program. Exempelvis skapar de tusentals olika versioner av ett skadligt program, som varje gång kolliderar koden så att antivirusprodukter har svårt att upptäcka det.

I andra halvåret 2007 spårade Symantec exempelvis nästan en halv miljon nya typer av skadlig kod, upp 136 procent från första halvåret. Säkerhetsexperter säger att denna situation är ännu värre under 2008.

"De saker vi korsar är inte så komplicerade", säger Greg Hoglund, VD för HBGary, ett företag som säljer programvara för att hjälpa kunder att reagera på datorintrång. "Det mesta av den skadliga programvaran som finns ute nuförtiden … försöker inte ens att gömma sig."

Till exempel har en av HB Garys kunder nyligen drabbats av en riktade attack. De dåliga killarna visste exakt vad de ville och efter att ha gått in i nätverket snubblade informationen innan företagets incidentresponslag kunde komma dit, sa Hoglund. "Det var väldigt tydligt att angriparna visste att de skulle komma undan med data så snabbt att de inte ens behövde gömma sig."